360雷电os(提速谎言的背后)
位于硅谷的安全公司Trustlook昨日发表了名为“‘雷电’速度谎言真相”的对360雷电OS及其附带应用的分析,揭穿了360利用这一和木马类似的工具伪装成“优化”工具欺骗用户,强行删除原有系统升级组件并在手机上留下后门、危害用户账户信息安全的真相。
以下是对Trustlook该分析报告的翻译:
你以为是在手机上安装了一个“加速”工具,实际上你的手机已经被开了一个后门。
近日,一款名为“雷电OS”的产品利用奇虎360安全卫士等渠道进行推广,它声称安装后用户手机可提速30%并拥有更高的续航能力。
我们对雷电OS及其安装过程进行了技术分析,发现雷电OS事实上包含了一个“后门”功能,利用Fastboot在用户手机上强行刷入经过修改的Recovery映像文件。雷电OS还在用户不知情的情况下卸载了一些原有系统预装的必要工具,尤其是系统更新组件,这将给用户的手机带来大量安全隐患。
此外,雷电OS还在未经用户允许的情况下偷偷安装了雷电应用市场、雷电浏览器、雷电助手、雷电加速以及360安全卫士到手机上。更加恶劣的是,它“黑掉”了系统的原有签名使得上面那些应用被安装在系统SYSTEM分区下并拥有系统最高权限,用户很难自行删除。
这一切都建立在奇虎360安全卫士里面蒙骗用户“一键体验”的基础上,在整个安装过程中完全没有提醒用户相关风险,这些操作让用户手机的安全性几乎完全丧失。
分析之后,我们还发现研发雷电的两家公司“KuRuiMeng”和“CHIMA”事实上就是奇虎360的子公司。雷电OS还集成了若干奇虎360安全卫士的模块。
下面是对雷电OS的详细分析,以雷电OS的安装步骤为开始。
就像图1和图2所显示的,在Windows上安装奇虎360安全卫士后,右下角落里的“更多”就能找到雷电OS,点击即可打开安装窗口。
图1 奇虎360安全卫士中的雷电OS入口(步骤1)
图2 奇虎360安全卫士中的雷电OS入口(步骤2)
图3 奇虎360安全卫士中的雷电OS安装窗口
点击图3中绿色的“立即体验”按钮后,奇虎360安全卫士开始下载相关安装文件到C:\Documents and Settings\Administrator\Application Data\CleanAndroid文件夹下。
图4 开始在手机上安装雷电OS
经过监控雷电OS的下载过程,我们发现安装文件是由360CleanHepler.exe进程下载的,以及相关json文件中包含的下载信息(图5及表1)
图5 下载安装文件的360CleanHelper.exe
表1 包含下载信息的json文件
图6 刷机工具的下载信息
图7 刷机工具的压缩包信息
图8 Cleandroid文件夹中的刷机工具信息
图9 Cleandroid文件夹下Tools文件夹中的文件
由图7可见,雷电OS的安装过程实际上是利用Fastboot工具将recovery.img刷入手机,再利用adb调试工具远程安装apk。根据json文件包含的信息,雷电OS的下载地址为dl.so.keniub.com。
查看其IP(101.199.109.90)以及相关DNS信息可知,下载服务器由奇虎360提供。由雷电OS官网的许可协议可以进一步发现,该公司的地址和奇虎360完全相同(北京市朝阳区酒仙桥路6号院),进一步揭穿了雷电OS和奇虎360的关系。
图10 雷电OS安装文件的下载地址
图11 下载地址的DNS相关信息
图9所示的Cleandroid文件夹中各文件细节如下:
·ChiMaster.zip包含了一个apk文件,在手机系统引导后自动启动并开启一些雷电OS的服务。
·com.chima.customizationassist.zip包含了一个名为Hurricane.apk的文件,根据自带的黑名单和白名单来卸载系统原有预装的文件。
·com.leidianos.osspecial.zip包含了一个app,经分析是微信外挂。雷电OS用其实现自称的“微信自动抢红包”功能来吸引人安装,这一组件将极大增加用户微信帐户名及密码的泄露的可能性。
·leidianLauncher.zip即为雷电OS桌面(Launcher)和相关UI的安装包。
·leidianProvider.zip根据黑名单和白名单卸载手机原有的系统文件
·donghua.zip即为安装雷电OS后手机的开机动画。
·netd.zip用来进行网络管理并集成了“防火墙”功能
·update.zip包含了dexdump工具,用来伪造签名。
·UpdateCentre.zip用来取得手机的root权限并劫持一些Android的重要功能。
接下来是对相关文件签名的分析。图12为leidianLauncher.apk的签名:
图12 leidianLauncher.apk的签名
图13是chima.apk的文件签名:
图13 chima.apk的签名
根据图12、13所显示,这些组件由奇虎360的子公司KuRuiMeng和CHIMA所开发。
以下是对雷电OS中三个重要App(Chima.apk,updateCentre.apk,Hurricane.apk)的分析:
1.Chima.apk
该应用的打包系统服务名称为com.chima.vulcan,安装在用户手机的/system目录下并拥有和系统文件同样的权限(如图14所示),会在开机后自启并收集用户信息如IMEI号/手机序列号/运营商/定位/CPU运行信息/用户性别等。
图14 Chima.apk伪装系统文件的标签
该应用还在安装目录中放置名为libchimahelper.so的文件。如图15所示,其在dalvik虚拟机的层面上劫持了三个关于系统服务的重要功能:bindService、startService以及getContentProvider。这允许其监视和控制Android系统及组件之间的重要通信。
图15 Chima.apk中对bindService功能的劫持
该应用还引入了一些非常具有争议性的命令,如远程安装App、远程卸载App等。相关命令列表如图16所示:
图16 Chima.apk引入的一些远程执行命令
如图17所示,我们还发现该应用的多个功能调用映像机制,该方法通常被病毒木马软件用来躲避杀毒软件的检测。
图17 Chima.apk使用的和病毒木马类似的躲避机制
2.updateCentre.apk
该应用用来root及劫持系统,允许雷电OS获得控制整个手机的权限。
图18 updateCentre对多个常见应用功能的劫持
如图19所示,该应用还劫持了Linux的一些通用功能:
图19 对Linux通用机能的劫持
而其中自带的Root模块Rootman可以定位至com.qihoo.permmgr.RootMan安装包。经过我们的验证,可以得出结论它和奇虎360的Root工具360一键Root大师完全相同。
经过收集用户手机的相关信息,该应用会将其发送至奇虎360的服务器,并返回各种机型的Root漏洞得出不同的root方案。
图20 连接奇虎360服务器试图得出root方案
图21 执行root漏洞进行root的updateCentre应用
3.Hurricane.apk
该应用根据黑名单对用户手机上的系统升级应用,以及其他厂商的手机卫士类型应用进行卸载。卸载之后,用户的手机不能进行官方升级并很大可能失去保修,极大增加了不安全性。
该黑名单中的应用如下所示,包含了三星、小米、华为、联想、LG、中兴、酷派、VIVO、OPPO、HTC、金立、诺基亚、锤子等市面全部主流手机厂商的系统更新工具,以及Facebook、腾讯、阿里等相关厂商的应用,甚至连Google在Android内置的升级组件和高通、联发科的升级组件也没有放过:
com.aliyun.fota
com.tencent.nanji.updater
com.yulong.android.ota.client
com.facebook.katana
com.bbk.updater
com.android.guanli
com.lenovo.safecenter
com.dxkj.xsb
com.smartisanos.updater
com.android.ota
com.nokia.update
com.adups.fota
gn.com.android.update
com.lge.update
cn.nubia.systemupdate
com.android.update
com.android.GioneeSysUpdate
com.lenovo.safecenterpad
com.huawei.systemmanager
com.htc.UpgradeSetup
com.lenovo.ota
com.meizu.flyme.update
com.yulong.android.seccenter
com.icoolme.android.upgrade
com.zte.zdm
com.zxly.assist
com.mediatek.GoogleOta
com.tianqi2345
com.oppo.trafficmonitor
com.huawei.android.hwouc
com.android.jrdfota
com.yunos.securityagent
com.htc.updater
com.aurora.netmanage
com.hmct.updater
com.qualcomm.update
com.browser2345
com.android.activate
com.mgyun.shua.su
com.android.provision.system
com.newbee.datausage
com.oppo.safe
com.oppo.virusdetect
com.iqoo.secure
com.sec.android.fwupgrade
com.romjd.android
com.hisense.updater
com.oppo.ota
com.yulong.android.ota
com.wsdm
com.ahong.update
com.sec.android.fotaclient
com.policydm
com.lenovo.safecenter.plugin
Com.wssyncmldm
Trustlook建议,如果你安装了雷电OS,请立即前往手机厂商的官方网站下载正确的刷机包重新刷机。
,免责声明:本文仅代表文章作者的个人观点,与本站无关。其原创性、真实性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容文字的真实性、完整性和原创性本站不作任何保证或承诺,请读者仅作参考,并自行核实相关内容。文章投诉邮箱:anhduc.ph@yahoo.com